LATEST ARTICLES

octubre 11th 2016

¿No recuerdas tu contraseña WiFi?

Número de lecturas: 1630
{lang: 'es-419'}

Te habrá pasado en más de una ocasión. Te conectas a un punto WiFi con tu teléfono, tablet u ordenador portátil y, aunque ya lo usaste con anterioridad,te pide de nuevo la contraseña. O quieres conectar un nuevo aparato y no recuerdas la contraseña. La solución pasa por acercarse al router y ver la clave numérica pero, ¿y si no tienes acceso físico a ella ni tienes a nadie a quién preguntar?

Cualquier sistema operativo guarda un registro de contraseñas usadas. No están a simple vista, pero si sabemos dóndeBUSCAR, las encontraremos. Lo mismo ocurre con las claves WiFi, que quedan registradas y que te permiten no tener que configurarla cada vez que te conectas. Sin embargo, si no la usas durante un tiempo puede que te la vuelva a pedir y tengas que acudir a este artículo.

En Windows

Si tu PC tiene instalado Windows 10, encontrar la contraseña WiFi olvidada es muy fácil pero requiere muchos pasos.

Si aún no has accedido a esa red inalámbrica, ve a Inicio > Configuración > Red e Internet, elige la conexión y haz clic en Conectar. El siguiente paso es escribir “ver conexiones de red” en el cuadro de búsqueda y elegir la opción exacta. Haciendo clic con el botón derecho en la conexión que buscas, selecciona Estado > Propiedades inalámbricas. En esa ventana, elige la pestaña Seguridad y Mostrar caracteres. Verás la contraseña WiFi en el campo Clave de seguridad de red.

En Windows 7 y Windows 8 la manera más rápida y simple es hacer clic en el icono de red de la barra de tareas, clic derecho sobre la conexión deseada, clic en Propiedades y en la nueva ventana que se abrirá, elegir la pestaña Seguridad y marcar Mostrar caracteres. En Clave de seguridad de red verás la contraseña.

Si usas Windows XP o no te ha funcionado lo anterior, puedes optar por una aplicación de terceros. WirelessKeyView funciona con todas las versiones de Windows y te mostrará las contraseñas WiFi a las que hayas accedido anteriormente indicando el nombre del punto WiFi, el tipo de contraseña y la propia clave.

En Mac

En cualquier versión de Mac OS X, OS X o MacOS, para recordar una contraseña olvidada deberás acudir al Acceso a llaveros. La manera más rápida de abrirlo es pulsar CMD + Espacio a la vez, y en la ventana de búsqueda de Spotlight indicar Llavero.

En Acceso a llaveros están todas las contraseñas y claves que has usado en tu Mac. ¿Y las WiFi? Las encontrarásBUSCANDO “Airport” en el cuadro de búsqueda de la esquina superior derecha de Acceso a llaveros. En la ventana principal verás la lista de conexiones WiFi a las que has accedido antes. Elige la que quieres y haciendo clic con el botón derecho tendrás dos opciones:copiar la contraseña al Portapapeles para usarla directamente desde tu Mac o hacer clic en Información y ver la contraseña.

En Android

Para encontrar la contraseña WiFi olvidada enANDROID necesitarás una app. Las dos maneras más fáciles de hacerlo es, por un lado con Wifi Password Recovery, una herramienta que busca por ti las contraseñas guardadas en Android y te las dice.

Si no te fías de esta herramienta, prueba con un administrador de archivoscomo ES File Explorer. Con esta app accede a /data/wifi o /data/misc/wifi. Dentro encontrarás un fichero llamado wpa_supplicant.conf que contiene la lista de conexiones WiFi previas y las contraseñas de cada una.

En iOS

Si cuentas con un dispositivo iOS,IPHONE o iPad, hay una buena y una mala noticia. La buena noticia es que si utilizas iCloud para sincronizar tus datos y archivos entre dispositivos y has incluido el Llavero en la sincronización, tus contraseñas WiFi están a salvo junto con tus usuarios y contraseñas de sitios web e información de tarjetas de crédito.

La mala noticia es que este llavero no es visible como el de Mac, por lo que no podrás ver la contraseña específica. Simplemente se añade automáticamente al acceder a un WiFi reconocido.

Hay una posible solución a este problema si tu dispositivo iOS tiene jailbreak, cosa que no recomiendo por motivos de seguridad. En cualquier caso, con el tweak WiFi Passwords List añadirás la opción de ver las contraseñas de las redes WiFi a las que accediste.

Fuente:

hipertextual.com

octubre 10th 2016

An error has occured. Please see log file (Eclipse Mars)

Número de lecturas: 1130
{lang: 'es-419'}

Para resolver el error:

An error has occured. Please see log file

Se debe simplemente borrar la carpeta .metadata que esta dentro del workspace.

2016-10-10 08_06_54-workspace

octubre 7th 2016

Algunas de las mejores herramientas de hacking de 2016

Número de lecturas: 8995
{lang: 'es-419'}

Poco a poco nos aproximamos al final de este año, de forma inexorable. Por eso -y porque sé que siempre hay personas ávidas de utilizar nuevas herramientas he decidido preparar una lista que incluya algunas de las mejores herramientas de hacking de 2016.

No es una lista descomunal ni es la lista definitiva pero lo que sí encontraréis es una lista con herramientas para diferentes propósitos, todas ellas con una fiabilidad probada por la comunidad. Son útiles tanto para principiantes en esto del ethical hacking como para los que ya llevan tiempo y quieren refrescar la memoria y no perderse nada de lo que hay a su disposición.

Por supuesto se aceptan comentarios y sugerencias. Si me parecen apropiados no tendré inconveniente en incluirlos en la lista. Dicho esto, podemos empezar a detallar nuestras herramientas recomendadas.

Algunas de las mejores herramientas de hacking de 2016

Encontrarás el contenido distribuído en subcategorías, con algunas opciones adicionales a la que he decidido destacar en cada caso. La opción destacada no tiene por qué ser la mejor (en parte esto es algo subjetivo) pero definitivamente merecerá la pena probarla.

Herramientas para escaneo de vulnerabilidades web

Acunetix Web Vulnerability Scanner

El escaneo de vulnerabilidades en web está bien provisto con la herramienta que nos proporciona Acunetix. Si gestionamos un servidor web o que proporcione acceso a aplicaciones mediante este protocolo conviene evitar fallos de configuración que puedan producir el aterrizaje del malware en el mismo o comprometer la información de los usuarios.

acunetix-web-vulnerability-scanner_10

Este scanner de vulnerabilidades multi-hilo recorre todas las rutas de nuestro sitio web y nos ofrece un interesante informe que muestra si estamos expuestos a algunos de  los ataques más frecuentes y graves contra sitios en internet. Sólo en plataformas WordPress es capaz de reconocer 1200 vulnerabilidades, ocasionadas en su mayoría por fallos de configuración que debilitan la seguridad:

  • XSS – Cross Site Scripting
  • SQLi – Inyecciones de código SQL
  • CSRF – Cross Site Request Forgery
  • Un largo etcétera…

Este software de seguridad viene con un logger que realiza seguimiento del proceso de inicio de sesión y accede a áreas protegidas de la web. Su nueva tecnología Acusensor reduce la tasa de falsos positivos en comparación con otras herramientas. Definitivamente una herramienta que probar si te encuentras en este escenario. Compatible con Windows XP o superior.

Alternativas para escanear vulnerabilidades web

Burp Suite, Firebug, AppScan, OWASP Zed, Paros Proxy

Herramientas de hacking ético

Metasploit

Más que denominar Metasploit como un conjunto de herramientas de explotación, podríamos decir que es como una infraestructura que podemos utilizar para construir nuestras herramientas de “hacking a medida”. Esta herramienta gratuita está soportada por una gran comunidad con más de 200000 usuarios y contribuyentes.

metasploit

Podemos decir, por tanto, que Metasploit es un framework muy potente (permite encontrar vulnerabilidades en sistemas muy diferentes) y el soporte de la comunidad lo hace cada vez más potente.

La potencia de Metasploit lo convierte en referencia tanto para expertos en seguridad informática como para ciberdelincuentes.

Esta navaja suiza es para mi una herramienta de hacking de primer orden también este 2016. Podemos simular ataques en escenarios reales, encontrando puntos débiles y explotando estos. Como pentester, podrías beneficiarte de los informes que produce la integración con Nexpose, obteniendo informes muy completos.

Descarga Metasploit aquí y comienza a utilizarlo en plataformas Windows, Linux o Mac OS.

Herramientas para escaneo de vulnerabilidades

Nessus Vulnerability Scanner

Se trata de una de las mejores herramientas de hacking de 2016 y funciona con la ayuda de un framework de tipo cliente-servidor. La empresa desarrolladora -Tenable- es conocida en el mercado principalmente gracias a la popularidad de este entorno.

nessus-vulnerability-scanner

Podemos encontrar Nessus en diferentes variantes: Nessus Home, Nessus Professional y las versiones Nessus Manager y Cloud.

Utilizando esta herramienta podemos escanear en busca de diferentes tipos de problemas de seguridad: vulnerabilidades, fallos de configuración, ataques DDoS hacia la pila TCP/IP, detección de malware o fugas de información sensible. También nos servirá para que nuestra organización cumpla con estándares como PCI DSS.

Están disponibles, además, ataques de diccionario mediante la conexión con la popular herramienta Hydra.

Pero ahí no acaban las posibilidades de Nessus, porque además podremos ejecutar análisis de red múltiples en IPv4 e IPv6, además de redes híbridas. Podemos programar análisis o lanzarlos a petición, además de llevar a cabo análisis selectivos contra módulos previamente detectados para ver si se han subsanado los fallos.

En cuanto a compatibilidad no debemos preocuparnos ya que soporta sistemas Windows y Mac, así como las distribuciones de Linux Debian, Ubuntu, Kali, etc.

Descarga Nessus aquí

Otras herramientas para escaneo de vulnerabilidades

Netsparker, sqlmap, Core Impact, WebGoat, BeEF

Herramientas para escaneo de puertos

NMAP

Nmap -también conocido como Network Mapper- es una herramienta de escaneo de puertos. Es gratuita y open source y podríamos decir que es la herramienta más popular para dicho propósito a día de hoy. Nos permitirá realizar descubrimiento de red y auditorías de seguridad en esta categoría.

Nmap

Se utiliza para un amplio número de servicios y emplea paquetes de IP “en bruto” para determinar el número y tipo de hosts alcanzables en una red, sus servicios, sistemas operativos o los firewalls utilizados, entre otras cosas.

Nmap ha ganado premios en años anteriores y ha sido utilizado en muchas películas con alguna relación con el hacking, como Matrix Reloaded, La Jungla de Cristal 4, etc. Disponible mediante línea de comandos, el ejecutable también nos ofrece una interfaz de usuario más amigable (gráfica).

Está disponible para sistemas operativos Windows, Linux y Mac OS X.

Descarga Nmap aquí

Otras herramientas para escaneo de puertos

Unicornscan, NetScanTools, Angry IP Scanner

Herramientas para escaneo de tráfico de red

Wireshark

Wireshark es una herramienta de creación y análisis de paquetes de red con un amplio recorrido. Puede encontrar vulnerabilidades en una red y sirve además para probar la fortaleza de las reglas de nuestros firewall.

Wireshark

Miles de profesionales en ciberseguridad lo utilizan habitualmente para analizar redes y capturar tráfico en diferentes protocolos, como Ethernet, wireless (IEEE 802.11), PPP/HDLC, ATM, Bluetooth, Fibra, Frame Relays y otros.

Estamos ante una herramienta gratuita y de código abierto que tiene una versión alternativa en forma de línea de comandos, de nombre TShark. Como curiosidad, su nombre original era Ethereal.

La compatibilidad está garantizada con sistemas Linux, Mac OS y también Windows.

Descarga Wireshark aquí

Otras herramientas para escaneo de redes

Nagios, Ntop, Splunk, Ngrep, Argus, TcpDump, Netmon…

Herramientas para análisis forense

Maltego

La suite Maltego es un entorno de pruebas forense, de código abierto y que ofrece una minería de datos muy potente y que nos permitirá pintar un cuadro muy detallado de las ciber-amenazas que nos rodean. Es excelente para mostrar la complejidad y los puntos de falla posibles en nuestro entorno.

Maltego

Maltego es una herramienta muy deseable para un hacker, porque analiza los puntos de unión entre personas, empresas, dominios, sitios web, documentos o direcciones IP. Todo ello en tiempo real.

Está basado en Java y se utiliza mediante una agradable y fácil de usar, que permite personalizar a nuestro gusto las opciones de escaneo. Está disponible para Windows, Linux y Mac.

Descarga Maltego aquí

Otras herramientas forenses recomendadas

The Harvester, Shodan, Metagoofil, GHDB, Foca, Autopsy, EnCase, Helix 3 Pro

Herramientas de ingeniería social

Social-Engineer Toolkit

El desarrollador TrustedSec pone a nuestro alcance una excelente suite de pruebas de ingeniería social que podemos encontrar con nombres diferentes: Mr. Robot y Social-Engineer Toolkit.

Con este kit podemos simular diferentes tipos de ataques mediante ingeniería social (tan comunes hoy en día) como ataques de phishing, robo de credenciales y otros tipos. En el vídeo podemos ver un ejemplo de phishing lanzado contra usuarios de Facebook que serán redirigidos desde una web suplantada.

Las posibilidades son muy amplias, podemos incluso realizar suplantación de identidad en mensajes SMS, así que recomiendo si os interesa este asunto que realicéis vuestras pruebas con la herramienta. Además nos permite automatizar totalmente los ataques y sentarnos a mirar.

Esta suite está basada en Python y es ahora mismo el estándar universal para realizar estas pruebas, con más de 2 millones de descargas.

Social-Engineer Toolkit está soportado en Windows, Mac OS y Linux. Para descargarlo en Linux utiliza el siguiente comando:

Descarga Social Engineer Toolkit

Herramientas para crackear contraseñas

oclHashcat

En caso de que estés interesado en realizar ataques contra contraseñas frecuentemente, seguro que ya conoces Hashcat. Este funciona utilizando los recursos de la CPU para crackear contraseñas. Sin embargo, oclHashcat es aún más reciente y avanzado, utilizando los mayores recursos que le brinda la GPU del equipo.

oclhashcat

oclHashcat es el crackeador de contraseñas más rápido del mundo, el primero en contar con un motor basado únicamente en cómputo GPGPU. Si dispones de una tarjeta gráfica medianamente decente y lo quieres probar, notarás la diferencia.

Ten en cuenta que necesitarás drivers a partir de ForceWare 346.59 para Nvidia y a partir de Catalyst 15.7 para tarjetas AMD. También funciona con APUs.

Los modos de ataque contra contraseñas son:

Plano

  1. Combinación
  2. Fuerza-bruta
  3. Diccionario híbrido + máscara
  4. Máscara híbrida + diccionario

Como característica adicional, oclHashcat es una herramienta open source que funciona con licencia propietaria del MIT, permitiendo fácil integración con diferentes distribuciones de Linux. También soporta sistemas Windows y Mac OS X.

Descarga oclHashcat aquí

Alternativas a oclHashcat

John the Ripper, Aircrack, Hydra, ophcrack


Herramientas adicionales y utilidades

Depuradores: IDA Pro, WinDbg, Immunity Debugger

Detección de Rootkits: Dumpsec, HijackThis, Rootkit Revealer, Tripwire

Fuente:

protegermipc.net

octubre 7th 2016

ENCUENTRAN UNA FORMA DE HACKEAR WHATSAPP CON SOLO UN NÚMERO DE TELÉFONO

Número de lecturas: 3735
{lang: 'es-419'}

Pensábamos que los sistemas de cifrado que había anunciado WhatsApp eran completamente seguros. Pero nada más lejos de la realidad. Esta misma semana te contábamos que los mensajes que envías a través de esta plataforma en realidad no están tan a salvo. Y aunque muchos pensaran que el paradigma de la seguridad a la hora de mandar mensajes era Telegram, también se equivocaban. Ahora se han publicado unos vídeos que muestran exactamente cómo se hackea WhatsApp con un solo número de teléfono y demuestran que Telegram está a la misma altura, de modo que los usuarios de esta herramienta también pueden ver hackeados sus mensajes sin darse ni cuenta. La acción de vulnerar una cuenta de WhatsApp puede llevarse a cabo con una facilidad pasmosa. ¿Quieres ver cómo lo han hecho estos expertos?

Ya te indicamos que la posibilidad de hackear una cuenta de WhatsApp parte del hecho de que todos estamos conectados a Internet a través de un canal o sistema conocido como SS7. Como puedes comprobar en el vídeo, lo que hace el hacker es suplantar la identidad de la víctima con su propio dispositivo. Para acceder al sistema, lo único que necesita el criminal es contar con su número de teléfono. Le bastará eso para engañar al proveedor, pedir el número de verificación que necesitamos para acceder a WhatsApp y empezar a leer todos los mensajes que recibe la víctima. Lo peor de todo es que además de espiar, el hacker puede intervenir en las conversaciones, con los peligros que todo eso conlleva. Lo mismo ocurre con Telegram. El mismo propietario del vídeo ha publicado una segunda grabación en la que se hace patente que el sistema de seguridad de esta aplicación también puede ser vulnerado sin problemas. Puedes verlo a continuación.

Y aunque se haya demostrado que es posible acceder a los mensajes empleando cierta técnica, los expertos siguen recomendando usar Telegram y WhatsApp como herramientas de intercambio de archivos. Son, sin duda, mucho más seguras que, por ejemplo, los SMS. No hay que olvidar, tal como ha informado el experto Karsten Nohl, que ambos sistemas cuentan con un sistema de cifrado de extremo a extremo.

PERO, ¿CÓMO SABER SI MIS CONVERSACIONES ESTÁN CIFRADAS?

WhatsApp pone a tu disposición una fórmula para comprobar si las conversaciones con cualquier contacto están correctamente cifradas. Lo que tienes que hacer es lo siguiente:

1. Abre una conversación o chat.

2. Pulsa sobre el nombre del contacto en cuestión para llegar a la pantalla de información.

3. Ahora presiona sobre la opción Cifrado. Verás un código QR o los 60 dígitos.

4. Si tu otro contacto está conectado, podrás escanear el código QR del otro y comparar el código de seguridad en cuestión. Si al escanearlo coincide, aparecerá un tick verde que significará que vuestra conexión es totalmente segura y vuestras conversaciones no están siendo interceptadas.

Recuerda que para poder usar esta herramienta ambos contactos tenéis que tener vuestra aplicación deWhatsApp actualizada a la última versión. De lo contrario, vuestras conversaciones aparecerán como no cifradas de extremo a extremo.

Fuente:

http://noticiasseguridad.com/